Технический форум - Новый веб-стандарт WebAuthn позволит избавиться от паролей на сайтах

Цитата:

Организация W3C (Консорциум Всемирной паутины) совместно с FIDO Alliance анонсировали новый способ авторизации пользователей. Новый стандарт веб-аутентификации WebAuthn предлагает упрощенный и более безопасный способ для входа в свой аккаунт на сайте

Новая технология WebAuthn находится на утверждении W3С уже почти 2 года, но 10 апреля 2018 года стал знаковой датой для нового веб-стандарта. Данный стандарт уже поддерживается новейшими версиями Mozilla Firefox, в ближайшее время поддержка WebAuthn будет также добавлена в Chrome и Edge. Opera также поделилась своей решимостью в ближайшее время поддержать новую технологию. Тем не менее, от Apple официальных заявлений по реализации поддержки в Safari не поступало.
Данная технология позволит активно развивать современные методы аутентификации на сайтах, такие как биометрические признаки и USB-токены. Новый стандарт также предотвратит фишинг в значительной степени, что является еще одним положительным моментом.
Селена Деккельман (Selena Deckelmann) из Mozilla отметила:

Ранее поддержку токенов могли себе позволить только крупные компании Google, Microsoft и Facebook, которые интегрировали собственные драйвера. WebAuthn позволит использовать общедоступные библиотеки для реализации безопасной авторизации.

Как работает новая технология

Регистрация на сайте

Используется смартфон:

Пользователь заходит на сайт example.com и входит в свой аккаунт, используя традиционный метод (например, пароль), или создает новую учетную запись.
Смартфон покажет запрос “Хотите ли вы зарегистрировать устройство на example.com”.
Пользователь принимает запрос.
Смартфон просит пользователя подтвердить свою личность, используя предварительно настроенный способ аутентификации (PIN-код, биометрические признаки и т.д.). Пользователь выполняет данный шаг.
На сайте показывается сообщение “Процедура регистрации завершена”.

Аутентификация на сайте

Используется ноутбук или ПК:

Пользователь переходит на сайт example.com в браузере и видит опцию “Войти с помощью смартфона”.
Пользователь выбирает данную опцию и получает сообщение от браузера “Пожалуйста завершите действие на смартфоне”.

Используется смартфон:

На экране смартфона пользователь видит запрос или уведомление “Войти на сайт example.com”.
Пользователь выбирает данный запрос / уведомление.
Пользователю показывается список всех своих аккаунтов для example.com.
Пользователь выбирает аккаунт, после чего смартфон просит подтвердить личность, используя настроенный способ аутентификации (PIN-код, биометрические признаки и т.д.). Пользователь выполняет данное действие.

Снова используется ноутбук или ПК:

Веб-страница показывает, что пользователь успешно вошел в аккаунт и перенаправляет на страницу авторизованного пользователя.

Конечно, мы не скоро сможем использовать камеру мобильного устройства для входа на Facebook, но активная реализация новой технологии является шагом в правильном направлении.

Источник: .comss.ru